La cyber-assurance a passé un cap difficile et a retrouvé le sourire. Comme l'explique une étude de l'Amrae, qui regroupe des professionnels de la gestion des risques en entreprise (au total plus de 1600 membres issus de 750 organisations). « Après une année 2020 fortement déficitaire, les assureurs ont alors semblé vouloir se retirer du marché. Ils ont finalement fait le choix de revoir en profondeur leurs portefeuilles et de durcir les conditions de souscription en augmentant les taux de prime, en relevant les franchises et en réduisant les capacités (soit le plafond des garanties, NDLR) », écrivent les auteurs. Une mécanique qui a d'abord touché les grandes entreprises, avant de s'étendre aux ETI et de toucher désormais les PME. Avec des effets très concrets : l'étude LUCY (pour LUmière sur la CYberassurance) estime que le ratio entre les indemnisations et les primes atteint un niveau historiquement bas, à 22%.
Cette 3ème édition de l'étude LUCY, qui s'appuie sur les données des courtiers spécialisés, se base sur l'analyse de 9 672 polices d'assurance et de 177 sinistres cyber déclarés. Et dresse le tableau d'un marché très lucratif pour les assureurs : les primes ont bondi de 73% en un an (à 315 M€), tandis que les montants d'indemnisations se sont effondrés de 57% (à 71 M€). On est loin de l'année 2020 (où 217 M€ d'indemnisations avaient été distribués contre 130 M€ de primes) ou même de 2021, où les deux montants tendaient à s'équilibrer.
Grandes entreprises : pour 100 euros versés, 16 euros d'indemnisation
Si on se focalise sur les seules grandes entreprises, LUCY, qui a étudié 281 contrats sur ce segment des entreprises réalisant plus de 1,5 Md€ de CA, évalue à 950 000 euros le montant moyen de la prime annuelle. Si les assureurs ont versé une moyenne de 900 000 € par sinistre indemnisé, ils n'ont ouvert le portefeuille que 47 fois dans le courant de l'année 2022. Résultat : un ratio indemnisations sur primes très bas, à 16%. « Lissés sur quatre ans, les résultats des grandes entreprises sont plus 'normaux' : avec près de 600 M€ de primes perçues pour 365 M€ d'indemnisations versées, les assureurs affichent un ratio sinistres sur primes de 61 % », tempèrent les auteurs de l'étude.
Selon les calculs de l'Amrae, le montant des primes collectées progresse rapidement (plus de 50% de croissance annuelle moyenne), tandis que celui des indemnisations recule depuis 2020.
Toutes tailles d'entreprises confondues, alors que le volume total des primes progresse de plus de 50% par an depuis 2019 - avec une accélération en 2022 -, les indemnisations reculent depuis 2020. Pour l'Amrae ce pic de 2020 était dû tant à une augmentation de la fréquence, avec 86 sinistres indemnisés sur l'année, qu'à l'importance des sinistres. « Quatre d'entre eux ont totalisé 131 M€ d'indemnisation (soit une moyenne proche de 33 M€ par sinistre). À ces quatre sinistres XXL se sont ajouté 6 sinistres XL, indemnisés à une hauteur totale de 49,40 M€ (soit 8,20 M€ par sinistre) », rappellent les auteurs. Or, à cette aune, 2022 a été plutôt calme avec un seul sinistre XXL (indemnisé à hauteur de 15 M€) et quatre sinistres importants donnant lieu à une indemnisation moyenne de 2,3 M€.
Les (grandes) entreprises mieux préparées
Faut-il y voir le fruit d'une meilleure préparation des crises cyber au sein des grandes entreprises ? Les auteurs ne se prononcent pas catégoriquement. On peut en tout cas observer que la sinistralité baisse également dans les ETI (de 50 M€ à 1,5 Md€ de CA), avec 72 indemnisations en 2022 contre 110 un an plus tôt et un montant total versé par les assureurs en recul de près de 70%.
Pour Mylène Jarossay, la RSSI de LVMH, la baisse du nombre de sinistres relevée par l'étude LUCY converge avec les résultats du dernier baromètre du Cesin qu'elle préside. L'étude de ce club de RSSI de grandes organisations fait, elle aussi, apparaître une baisse du pourcentage d'entreprises ayant subi au moins une attaque significative : de 71 % en 2020, il est passé à 54 % en 2021 et 45 % en 2022. « Mais cela ne signifie pas que la menace diminue. C'est en réalité la défense qui progresse : de nombreuses attaques sont bloquées ou contenues avant d'avoir produit des dégâts significatifs », explique Mylène Jarossay. Notons que le phénomène ne s'étend pas encore aux petites entreprises, pour lesquelles le montant global des indemnisations a été multiplié par deux entre 2021 et 2022. L'Amrae s'attend d'ailleurs à voir les assureurs relever significativement leurs primes sur ce marché, dans la lignée du phénomène qu'ont déjà vécu les plus grandes organisations ces dernières années.